تمت الافاده ✔ برنامج مشبوه للتحليل من فضلكم

[Ahmed_Albosife]

السلام عليكم ورحمة الله
بعد اذنكم شباب اريد التأكد من هذا البرنامج هل هو سليم ام ملغم
ليس لدي خبرة كبيرة في التحليل ولكنه مبرمج بـ Autoit
وتمكنت من الحصول علي السكريبتات ولكن لم اتأكد هل هو سليم ام لا

للتحميل من هنا

[hide]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/hide]


لفك الضغط

[hide]infected[/hide]

 

[COMANDOS]

حياك الله ياغالي

هذا تورجان متنيل بستين نيلة​

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[juba_dz]

Backdoor/Poison.evja به سيرفر poison أو هو بحدّ ذاته متحكّم لسيرفر poison

 

[Ahmed_Albosife]

حياك الله ياغالي

هذا تورجان متنيل بستين نيلة​

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

السلام عليكم ورحمة الله

شكرا لك اخي كوماندوس باالفعل يبدو البرنامج كذلك

ففيه الكثير من الشبهات اثناء تحليله

ننتظر بقية الاخوة للتأكيد

 

[White Man]

الملف نظيف اخى

 

[Ahmed_Albosife]

الملف نظيف اخى

منورنا اخي عمرو بوجودك دائما

اذا كان الملف نظيف ياغالي لماذا اشتبهت فيه بعض برامج الحماية
وعندما قمت بتجربته علي الوهمي اصبح بطئ جدا
كما انه يستخدم بروتكول نقل الملفات FTP ماحاجته الي ذلك ؟
وايضا وعلي مااظن حسب قرأتي للاستدعأت التي يقوم بها يقوم بمراقبة الاتصالات التي تتم ان لم اكن مخطئ

 

[White Man]

منورنا اخي عمرو بوجودك دائما

اذا كان الملف نظيف ياغالي لماذا اشتبهت فيه بعض برامج الحماية
وعندما قمت بتجربته علي الوهمي اصبح بطئ جدا
كما انه يستخدم بروتكول نقل الملفات FTP ماحاجته الي ذلك ؟
وايضا وعلي مااظن حسب قرأتي للاستدعأت التي يقوم بها يقوم بمراقبة الاتصالات التي تتم ان لم اكن مخطئ

النور نورك اخى احمد ..
لفت انتباهى فى تقرير الفيروس توتال وجود اتصال للملف .. هل رصدته ؟
+
لى عودة للتعقيب بعد قليل

 

[Ahmed_Albosife]

النور نورك اخى احمد ..
لفت انتباهى فى تقرير الفيروس توتال وجود اتصال للملف .. هل رصدته ؟
+
لى عودة للتعقيب بعد قليل

-------
لا لم ارصد الاتصال كما قلت لك اصبح الجهاز بطئ جدا فااضطررت لـ اعادة التشغيل

فقمت بتحليل استاتيكي للملف فرأيت الاستدعأأت التي يقوم بها والعمليات وغيرها

 

[White Man]

منورنا اخي عمرو بوجودك دائما

اذا كان الملف نظيف ياغالي لماذا اشتبهت فيه بعض برامج الحماية
وعندما قمت بتجربته علي الوهمي اصبح بطئ جدا
كما انه يستخدم بروتكول نقل الملفات FTP ماحاجته الي ذلك ؟
وايضا وعلي مااظن حسب قرأتي للاستدعأت التي يقوم بها يقوم بمراقبة الاتصالات التي تتم ان لم اكن مخطئ

-------
لا لم ارصد الاتصال كما قلت لك اصبح الجهاز بطئ جدا فااضطررت لـ اعادة التشغيل

فقمت بتحليل استاتيكي للملف فرأيت الاستدعأأت التي يقوم بها والعمليات وغيرها

تمام .. جربت ع الوهمى XP و ع الحقيقى 7 ولم الحظ اى بطء او تهنيج اثناء او بعد تشغيل الملف
لا يوجد اى سلوكيات مشبوهة .. لا يقوم بإنشاء اى ملف .. لا يقوم باضافة نفسه للستارت اب باى شكل من الاشكال
لا يوجد اى اتصال سواء داخلى او خارجى
بالنسبة للصلاحيات .. فلا تنس وظيفة الملف (حسب الاسم) .. التعامل مع ديدان VBS
بالنسبة لتحليل أكواد الملف .. لا يوجد اى تشفير فيها .. طبعاً ليس لدى خبرة كبيرة فى الأوتوات لتحليل جميع أكواده
لكن الأكواد التى تمكنت من قراءتها لم اجد فيها اى شئ مشبوه

 

[White Man]

+
حسب الأكواد .. فهو يقوم بالبحث عن الملفات التى بامتداد VBS , LNK لتنظيفها
يقوم بقتل العملية wscript.exe فى حال وجودها (الحاضن لتشغيل ملفات vbs)
وبه تأخير ثانيتين

رأى الملف نظيف ان شاء الله

 

[Ahmed_Albosife]

السلام عليكم

مشاء الله اخي عمرو ربي يزيدك من علمه

لي عودة ان شاء الله

 

[Ahmed_Albosife]

السلام عليكم

هذه المسارات وجدتها داخل السكريبت

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

 

[White Man]

السلام عليكم

هذه المسارات وجدتها داخل السكريبت

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

وعليكم السلام وحمة الله
نعم ,لأنه يقوم بفحص هذه المسارات بحثاً عن الصيغ السابق ذكرها

 

[Ahmed_Albosife]

وعليكم السلام وحمة الله
نعم ,لأنه يقوم بفحص هذه المسارات بحثاً عن الصيغ السابق ذكرها

وهو كذلك اخي عمرو بارك الله فيك ياطيب
+
تمت الافادة
تحياتي

 

[White Man]

وهو كذلك اخي عمرو بارك الله فيك ياطيب
+
تمت الافادة
تحياتي

بالتوفيق اخى احمد ..

يغلق الموضوع للإنتهاء
وينقل للقسم الأنسب